ロシアで最も独創的なハッカー集団「トゥルラ」の地下歴史

西側諸国のサイバーセキュリティ情報アナリストに、外国の国家支援を受けたハッカー集団の中で「一番好きな」のは誰かと尋ねてみれば――彼らが渋々ながらも称賛し、執拗に研究する敵対勢力――ほとんどの人は、中国や北朝鮮のために活動する数多くのハッカー集団の名前を挙げないでしょう。大胆にもサプライチェーン攻撃を繰り返す中国のAPT41も、大規模な仮想通貨窃盗を実行する北朝鮮のラザルスも挙げられません。ロシア軍部隊が電力網への前例のない停電サイバー攻撃や破壊的な自己複製コードを展開しているにもかかわらず、悪名高いロシアのハッカー集団サンドワームの名前を挙げる人はほとんどいません。

むしろ、コンピュータ侵入の専門家は、他のどのグループよりもずっと長い間、さまざまな形で西側諸国のネットワークに静かに侵入してきた、はるかに巧妙なサイバースパイのチームの名前を挙げる傾向がある。それは「Turla」として知られるグループだ。

先週、米国司法省とFBIは、Turla（別名Venomous Bear、Waterbug）による攻撃を鎮圧したと発表した。この攻撃は、50カ国以上のコンピューターに「Snake」と呼ばれるマルウェアを感染させたもので、米国司法省とFBIはこれをロシア連邦保安庁（FSB）の「主要なスパイ活動ツール」と表現していた。米国政府は、Turlaのハッキングされたマシンのネットワークに侵入し、マルウェアに自己削除命令を送信することで、Turlaの世界的なスパイ活動に深刻な打撃を与えた。

しかし、FBIと司法省は発表の中で、そして作戦遂行のために提出された法廷文書の中で、さらに踏み込み、昨年ドイツ人ジャーナリストグループが報じた、Turlaがモスクワ郊外のリャザンにあるFSBのCenter 16グループに所属しているという情報を初めて公式に確認した。また、Turlaがトップクラスのサイバースパイ組織として長年にわたり活動してきたことを示唆した。FBIが提出した宣誓供述書には、TurlaのSnakeマルウェアが20年近く使用されていたと記されている。

実際、Turlaは少なくとも25年間活動していたと、ジョンズ・ホプキンス大学の戦略研究教授でありサイバーセキュリティ史家でもあるトーマス・リッド氏は述べています。彼は、米国を標的とした史上初のサイバースパイ活動、通称「ムーンライト・メイズ」と呼ばれる数年にわたるハッキングキャンペーンを実行したのは、Turla、あるいは少なくとも今日私たちが知るグループとなるTurlaの原型であったという証拠を指摘しています。

リッド氏は、これまでの経緯を踏まえると、FBIによる最新のツールキット破壊の後でも、このグループは必ず復活するだろうと述べている。「Turlaはまさに典型的なAPTです」とリッド氏は述べ、サイバーセキュリティ業界では国家が支援するエリートハッカー集団を指す用語として「Advanced Persistent Threat（高度で持続的な脅威）」の略語を用いている。「そのツールは非常に洗練されており、ステルス性が高く、執拗に活動します。四半世紀の歴史が物語っています。まさに、最大の敵です」

Turlaはその歴史を通じて、何年もの間影に消えては消え、米国防総省、防衛関連企業、欧州政府機関などの厳重に保護されたネットワーク内に再び姿を現す、という繰り返しを繰り返してきた。しかし、その長寿よりも、USBワームから衛星ベースのハッキング、他のハッカーのインフラの乗っ取りに至るまで、Turlaの絶えず進化する技術的創意工夫こそが、この25年間でTurlaを際立たせていると、セキュリティ企業SentinelOneで脅威情報調査を率いるフアン・アンドレス・ゲレロ＝サーデ氏は語る。「Turlaを見ると、おお、彼らは素晴らしいことを成し遂げた、彼らはこれとは違うものを開拓した、誰もやったことのない巧妙な手法を試して、それをスケールアップして実装した、という段階がいくつもあります」とゲレロ＝サーデ氏は言う。「彼らは革新的でありながら実用的であり、それが彼らを追跡すべき非常に特別なAPTグループにしているのです。」

以下は、国家が支援するスパイ軍拡競争の始まりにまで遡る、Turla の 25 年にわたるエリート デジタル スパイ活動の簡単な歴史です。

1996年：ムーンライト・メイズ

国防総省が一連の米国政府システムへの侵入を単一の広範なスパイ活動として捜査し始めた頃には、この活動はすでに少なくとも2年間続いており、アメリカの機密を大規模に盗み出していた。1998年、連邦捜査官は、謎のハッカー集団が米海軍と空軍、NASA、エネルギー省、環境保護庁、国立海洋大気庁、いくつかの米国の大学など、多くの機関のネットワーク化されたコンピューターを徘徊していたことを発見した。ある推計によると、ハッカー集団が盗んだ情報はワシントン記念塔の3倍の高さに匹敵する書類の山に相当したという。

捜査に携わった元米国国防総省情報官ボブ・ゴーリー氏によると、対諜報アナリストたちは当初から、ハッカー攻撃のリアルタイム監視と標的の文書の種類に基づき、ハッカーはロシア系だと確信していたという。ゴーリー氏によると、ハッカーたちの組織力と粘り強さが最も印象に残ったという。「彼らは壁にぶつかると、別のスキルとパターンを持つ誰かが代わりに攻撃に乗り出し、その壁を突破するのです」とゴーリー氏は語る。「これは単なる若者2人組の攻撃ではありませんでした。潤沢な資金を持つ、国家が支援する組織でした。国家がこのような攻撃を行ったのは、実のところ初めてのことでした」

捜査官たちは、FBIが与えたコードネーム「Moonlight Maze」のハッカーたちが被害者のシステムからデータを盗み出す際に、Loki2と呼ばれるツールのカスタマイズ版を使用し、長年にわたってそのコードを継続的に改良していたことを発見した。2016年、Rid氏とGuerrero-Saade氏を含む研究チームは、このツールとその進化を、Moonlight Mazeが実際にはTurlaの祖先によるものである証拠として挙げた。彼らは、20年後にTurlaのハッカーたちがLinuxベースのシステムを標的とした攻撃において、同様にカスタマイズされた独自のLoki2版を使用していた事例を指摘した。

2008年：エージェント.btz

ムーンライト・メイズから10年後、ターラは再び国防総省を震撼させた。2008年、NSA（国家安全保障局）は国防総省傘下の米中央軍の機密ネットワーク内部からマルウェアが発信されていることを発見した。このネットワークは「エアギャップ」、つまり物理的に隔離されており、インターネットに接続されたネットワークとは接続されていなかった。しかし、何者かが自己拡散型の悪意あるコードに感染させ、既に数え切れないほどのマシンにコピーされていた。米国のシステムでこのような事例はかつて見られなかった。

NSAは、後にフィンランドのサイバーセキュリティ企業F-Secureの研究者によってAgent.btzと名付けられることになるこのコードは、エアギャップネットワーク上のPCに誰かが差し込んだUSBメモリから拡散したと確信するに至った。感染したUSBメモリがどのようにして国防総省職員の手に渡り、米軍のデジタル聖域に侵入したのかは未だ解明されていないが、一部のアナリストは、単に駐車場に散らばっていたものを無防備な職員が拾ったのではないかと推測している。

ペンタゴンネットワークへのAgent.btzによる侵入は、その甚大な被害をもたらしたため、米軍のサイバーセキュリティ刷新を目指す複数年計画「バックショット・ヤンキー」のきっかけとなりました。また、NSAの姉妹組織として国防総省のネットワーク保護を任務とする米国サイバーコマンドの設立にもつながりました。サイバーコマンドは現在、米国で最もサイバー戦争志向の高いハッカーの拠点となっています。

数年後の2014年、ロシアのサイバーセキュリティ企業カスペルスキーの研究者たちは、Agent.btzと、後にSnakeとして知られることになるTurlaのマルウェアとの技術的な関連性を指摘しました。当時カスペルスキーはUroburos、あるいは単にTurlaと呼んでいたこのスパイ活動マルウェアは、ログファイルにAgent.btzと同じファイル名を使用し、暗号化にAgent.btzと同じ秘密鍵をいくつか使用していました。これが、悪名高いUSBワームが実際にはTurlaによって作成されたものであることを示す最初の手がかりとなりました。

2015年: 衛星指揮統制

2010年代半ばまでに、Turlaは世界数十カ国のコンピュータネットワークに侵入し、被害者のマシンにSnakeマルウェアのバージョンを残すことが既に知られていました。2014年には、ウェブサイトにマルウェアを仕掛けて訪問者を感染させる「水飲み場型」攻撃を用いていることが明らかになりました。しかし2015年、カスペルスキーの研究者たちは、Turlaの高度な技術とステルス性に関する評判をさらに確固たるものにする、新たな手法を発見しました。それは、衛星通信をハイジャックし、宇宙空間を経由して被害者のデータを盗み出すというものでした。

同年9月、カスペルスキーの研究員ステファン・タナセ氏は、Turlaのマルウェアが乗っ取った衛星インターネット接続を介して、コマンド＆コントロールサーバー（感染したコンピューターにコマンドを送信し、盗んだデータを受信するマシン）と通信していたことを明らかにした。タナセ氏の説明によると、Turlaのハッカーは、実際の衛星インターネット加入者のIPアドレスを、その加入者と同じ地域に設置されたコマンド＆コントロールサーバーに偽装する。そして、ハッキングしたコンピューターから盗んだデータをそのIPアドレスに送信し、衛星経由で加入者に送信する。ただし、受信側のファイアウォールによってブロックされるような方法で送信する。

しかし、衛星は上空から地域全体にデータを送信していたため、Turlaの指令サーバーに接続されたアンテナもそれを受信することができ、Turlaを追跡する者は誰も、そのコンピューターが地域のどこに位置しているかを知る術を持たなかった。タナセ氏によると、この極めて追跡困難なシステム全体の運用コストは年間1,000ドル未満だった。彼はブログ記事でこれを「素晴らしい」と評した。

2019年：イランに便乗

多くのハッカーは「偽旗作戦」を駆使し、他のハッカーグループのツールや手法を使って捜査官の追跡を逃れようとします。2019年、NSA（米国国家安全保障局）、サイバーセキュリティ・インフラセキュリティ庁（CISA）、そして英国の国家サイバーセキュリティセンターは、Turlaがさらに踏み込んだ行動をとっていると警告しました。Turlaは別のハッカーグループのインフラを密かに乗っ取り、スパイ活動全体を乗っ取っていたのです。

米国と英国の当局は共同勧告の中で、TurlaがAPT34（またはオイルリグ）として知られるイランのグループが混乱を引き起こすために使用するマルウェアを展開しただけでなく、場合によってはイランのコマンドアンドコントロールを乗っ取り、イランのハッカーが盗んだデータを傍受し、イランがハッキングした被害者のコンピューターに独自のコマンドを送信する能力を獲得したことを明らかにした。

これらのトリックは、侵入を特定のハッカー集団のせいにしようとするアナリストにとって、ハードルを著しく引き上げました。実際には、Turlaや同様の悪質な集団が影から密かに操っていた可能性があります。「イランのAPTから発信されたと思われる活動を調査する際には、常に注意を払い、誤認の可能性を避けてください」と、当時のCISA勧告は警告しました。「Turlaグループが変装している可能性もあります。」

2022年：ボットネットのハイジャック

サイバーセキュリティ企業のマンディアントは今年初め、Turlaがハッカーのハイジャックの手口の別の亜種を実行し、今度はサイバー犯罪者のボットネットを乗っ取って被害者をふるいにかけるのを発見したと報告した。

2022年9月、Mandiantはウクライナのネットワーク上のユーザーがUSBドライブをマシンに接続し、10年前に登場したバンキング型トロイの木馬「Andromeda」と呼ばれるマルウェアに感染させたことを発見した。しかし、Mandiantがさらに詳しく調査したところ、このマルウェアはその後、Mandiantが以前にTurlaと関連付けていた2つのツールをダウンロードしてインストールしていたことが判明した。Mandiantの調査により、ロシアのスパイたちは、Andromedaの元のサイバー犯罪管理者がマルウェアの制御に使用していた期限切れのドメインを登録し、それらの感染を制御する能力を獲得した上で、スパイ活動に利用できる可能性のあるドメインを数百件も検索していたことが判明した。

この巧妙なハッキングは、Turlaの特徴をすべて備えていた。2008年のAgent.btzと同様にUSBドライブを使って被害者を感染させるという点に加え、数年前にTurlaがイランのハッカーに対して行ったように、別のハッカーグループのUSBマルウェアを乗っ取って制御を奪うという手口も加わっていた。しかし、カスペルスキーの研究者たちは、MandiantがTurlaとの関連を突き止めるために使用したウクライナのネットワークで見つかった2つのツールは、実際にはTomirisと呼ばれる別のグループの兆候である可能性があると警告している。これは、Turlaが別のロシア国家グループとツールを共有しているか、あるいは複数のハッカーチームに進化していることを示しているのかもしれない。

2023年：ペルセウスに斬首される

FBIは先週、Turlaへの反撃を発表した。TurlaのSnakeマルウェアに使用されている暗号の脆弱性と、感染マシンから調査したコードの残骸を悪用することで、FBIはSnakeに感染したコンピュータを特定するだけでなく、マルウェアが自身を削除する命令と解釈するコマンドをそれらのマシンに送信する方法も習得したと発表した。FBIは独自に開発したツール「Perseus」を用いて、世界中の被害者のマシンからSnakeを駆除した。FBIはCISA（米国情報セキュリティ庁）と共同で、TurlaのSnakeが独自のHTTPおよびTCPプロトコルを使用してデータを送信する方法、そして他のSnake感染マシンやTurlaのコマンド＆コントロールサーバーとの通信を隠蔽する方法を詳述した勧告も発表した。

この混乱は、Turlaのハッカーたちの長年の努力を無駄にするに違いない。彼らは2003年、国防総省がAgent.btzを発見する以前から、Snakeを使って世界中の被害者からデータを盗み出してきたのだ。このマルウェアは、ピアツーピアネットワークを通じて被害者間で巧妙に隠蔽されたデータを秘密裏に送信できるため、Turlaのスパイ活動の重要なツールとなっていた。

しかし、たとえマルウェアが完全に根絶されたとしても、スネークネットワークを解体すれば、ロシアで最も粘り強いハッカー集団の一つが終焉を迎えるなどと、思い込んではならない。「彼らは現存する最も優れたハッカー集団の一つであり、いたちごっこが続くことは間違いありません」と、ジョンズ・ホプキンス大学のリド氏は語る。「彼らは誰よりも進化を続けてきた歴史を持っています。彼らの活動、戦術、そして手法に光を当てると、彼らは進化し、刷新し、再びよりステルス性の高い攻撃を仕掛けようとします。これは1990年代に始まった歴史的パターンなのです」

「彼らにとっては、タイムラインの空白は特徴なのです」とリド氏は付け加え、時には何年もの間、Turla のハッキング手法がニュース記事やセキュリティ研究者の論文にほとんど登場しなかったことを指摘した。

25年前、ムーンライト・メイズの最中に諜報員としてトゥルラを追跡したゴーリー氏は、FBIの作戦を称賛している。しかし同時に、スネーク感染の一部を排除することと、ロシア最古のサイバースパイ集団を倒すことは全く異なると警告する。「これは終わりのないゲームです。もし彼らがまだシステムに戻っていないとしても、すぐに戻ってくるでしょう」とゴーリー氏は言う。「彼らは消え去ることはありません。サイバースパイ活動の歴史はこれで終わりではありません。彼らは間違いなく、間違いなく戻ってくるでしょう。」